一、概述
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
二、模型介绍
网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力部门协调委员会(ESCC)和石油和天然气部门协调委员会(ONG SCC)资助共同开发出版发行。它解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。可以作为全面的企业网络安全建设的参考和补充。
C2M2 包括领域、目标、实践和 MIL(成熟度指标级别)。以下各节将讨论每个组件。
域:域是网络安全的一类主题。该模型有10个域,每个域都包含一组网络安全实践。每组实践都表示组织可以执行的活动,以域为单位建立成熟度模型。
目标:每个域内的实践被组织设定成目标,这些目标代表了可以通过在该领域实施实践来实现的网络安全成果。例如,风险管理领域包括五个目标:
-
建立和维护网络风险管理战略和计划
-
识别网络风险
-
分析网络风险
-
应对网络风险
-
经营活动
实践